bedeckt München 20°

Biometrische Systeme:Ein Passwort kann man ändern, die eigene Iris nicht

Koh Dong Jin President of Mobile Communications at Samsung Electronics Introduces the New Galaxy Note 7

Iris-Scan im Smartphone

(Foto: Bloomberg)

Fingerabdrücke, Gesichtserkennung, Augen-Scans: Konzerne und Regierungen wollen Bürger anhand biometrischer Daten identifizieren. Nur laden die Systeme zu Identitätsdiebstahl ein.

Von Alexandra Bröhm

Es gehört inzwischen zum Alltag, dass man digitale Geräte mit dem eigenen Fingerabdruck entriegelt. Oder mithilfe eines Irisscans. Auch die Gesichtserkennung hat in den vergangenen Jahren große Fortschritte gemacht. Sie kommt in vielen Bildverwaltungsprogrammen und Kameras zum Einsatz, wenn Google Fotos die Bilder im Handy beispielsweise automatisch nach Personen ordnet. Und mit der gestiegenen Angst vor Terror­anschlägen gerät sie auch als Kontrollsystem an Flughäfen oder Bahnhöfen wieder in die Diskussion, in Deutschland oder zum Beispiel am Flughafen Zürich.

Doch wie sicher sind diese Systeme, denen man biometrische Details des eigenen Körpers anvertraut, eigentlich? Das wollte ein amerikanisches Forscherteam genauer wissen. Und staunte nach getaner Arbeit darüber, wie leicht sich gängige Gesichtserkennungssysteme austricksen lassen.

Dem Team von der University of North Carolina gelang es, vier von fünf gängigen Systemen eine andere Identität vorzugaukeln. Sie testeten KeyLemon, Mobius, TrueKey, BioID und ID. KeyLemon beispielsweise wirbt auf seiner Website damit, dass sich das eigene Gesicht für die Identifizierung beim Onlinebanking eigne. Um die Programme zu überlisten, brauchten die Informatiker keinerlei Interaktion mit der Person, als die sie sich ausgaben. Vielmehr verließen sie sich auf Google, das Internet und den Fundus an Bildern, den man online zur Verfügung hat.

Die Forscher klauten Nasenlänge und Mundbreite von Testpersonen

Von 20 Freiwilligen suchten die Wissenschaftler im Netz alle verfügbaren Bilder zusammen, auf Social-Media-Plattformen und anderen Websites. Bei einzelnen Probanden kamen so nur wenige Aufnahmen zusammen, zwischen drei und immerhin 27 Bilder fanden die Forscher pro Kopf, selbst von Testpersonen, die schon länger darauf geachtet hatten, online möglichst wenig Spuren zu hinterlassen.

Die Bilder ließen sie dann von einer Gesichtserkennungs-Software analysieren, welche die typischen Merkmale aufzeichnet: beispielsweise die Position der Augen, die Länge der Nase oder die Breite des Mundes. Diese Daten fütterten die Forscher in ein Programm, das 3-D-Modelle herstellt, anschließend überzogen sie dieses Modell mit dem Bild des Probanden. Sie korrigierten den Blick, damit die Person direkt in die Kamera schaut, und animierten das Ganze in einem nächsten Schritt. Zuletzt stülpten sie noch eine Virtual-Reality-Anwendung darüber, damit sich das gestohlene Gesicht auch lebensecht gab. Denn heutige Gesichtserkennungssysteme sind so schlau, dass sie darauf achten, ob jemand zum Beispiel blinzelt.

Es handle sich um eine neue Art des Identitätsdiebstahls, schreiben die Forscher. Und sie raten dringend davon ab, die Sicherheit von Identifikationssystemen alleine auf Gesichtserkennung zu basieren.

Dieser Meinung ist auch Olaf Stern, Leiter des Studiengangs Informatik an der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW): "Es wird immer möglich sein, derartige Systeme auszutricksen", sagt er. Wie in anderen Bereichen gebe es ein Wettrüsten zwischen jenen, die Technik entwickeln, und jenen, die sie missbrauchen wollen.

Es gibt keinen Reset-Knopf für biometrische Daten

Der Trend zum vermehrten Einsatz von biometrischen Erkennungsmerkmalen im Alltag bringt noch grundlegendere Probleme mit sich. Zwar ist es bequemer, den Daumen aufs Smartphone zu drücken oder in die Kamera zu gucken, als sich komplizierte Passwörter auszudenken und zu merken. Doch ein geklautes Passwort kann man ändern, biometrische Daten nicht. Geraten sie in die falschen Hände, gibt es keinen Reset-Knopf, und sie fallen ein Leben lang als sichere Identifikationsquelle weg.

In den USA wurde 2015 in diesem Zusammenhang ein besorgniserregender Fall bekannt. Unbekannte Hacker drangen in das Office of Personnel Management ein, das die Daten aller Bundesangestellten verwaltet, und stahlen unter anderem die Fingerabdrücke von 5,6 Millionen Angestellten, darunter Agenten der Sicherheitsdienste.

Lesen Sie mehr zum Thema

Zur SZ-Startseite